Bädda för bästa hantering av incidenter
Sedan 2016 är det obligatoriskt för statliga myndigheter att rapportera IT-incidenter till MSB. Nästa år införs NIS-direktivet och då ska leverantörer av samhällsviktiga tjänster rapportera incidenter som har en betydande inverkan på kontinuiteten.
Rapporteringsskyldiga enligt NIS-direktivet är leverantörer av samhällsviktiga tjänster inom sektorerna: transport, bank, finans, vattenförsörjning, vård och hälsa, energi och digital infrastruktur.
Rapporteringen sker till MSB som vid behov kan ge stöd till de drabbade initialt.
– Vid en större incident som påverkar samhället kan MSB förpliktiga om att allmänheten ska informeras. MSB ska sedan lämna incidentrapporter till de tillsynsmyndigheter som ska utöva tillsyn över de olika sektorerna, säger Cristoffer Karsberg, MSB.
Proceduren för att rapportera IT-incidenter har MSB delat upp i fem steg: förebygga, identifiera, begränsa, återställa och göra erfarenheter.
– Förebygga handlar om att man sätter sin IT-säkerhetspolicy, utbildar användarna i vad som kan gå fel. Men ur ett hanteringsperspektiv handlar det om att bädda för bästa möjliga hantering när det går snett. Man sätter upp eskaleringsrutiner, ser till att man har ansvar och mandat att göra sin hantering, etablerar kontakter internt och externt och att man har en loggning som fungerar. Man kanske också måste göra en kommunikationsplan, säger Peter Jonegård, MSB.
Alla steg kan göras på olika ambitionsnivå.
– Det kan vara så att eskaleringsrutinen bara säger att Bosse och Berit ska ta tag i incidenten. Det är lite av en lägstanivå och varför jag säger två personer är att om en gör saker får den andra dokumentera. Man kan ha pekat ut en hel grupp och vilka som ska ingå, säger Peter Jonegård.
I rapporteringen ska fokus ligga på den egna aktiviteten.
– Det är lätt hänt att man säger att de där kontaktade aldrig oss. Ja, men hur ska vi agera för att kunna lösa situationer trots att de aldrig kontaktade oss. Man kan givetvis förbättra samverkan med andra men fokusera på det man kan förändra själv.
MSB vill gärna ha en snabb preliminärrapport trots att inte alla svar finns.
– Det är jättebra för vi kan ha information från tidigare drabbade. Det här kanske skedde i Österrike för en vecka sedan och hur gjorde de? Och vi kan känna till andra som borde varnas i ett tidigt skede. Vi kan också agera bollplank, vad kan göras åt det som skett.
I slutrapporten finns lärdomarna, inte bara vad som hände och vilka konsekvenser det fick, utan vad man kom fram till som kan förebygga en liknande incident.
– Jag tycker det är synd att begränsa rapporten till enbart tekniska saker. Hur sköttes kommunikationen, gick det bra? säger Peter Jonegård.